Beim S/4HANA-Umstieg beantworten: Warum sind SIEM-Tools für SAP taub?

Cybersecurity ist derzeit in aller Munde: Die verstärkte Nutzung externer Zugriffe auf Unternehmensnetzwerke während der Pandemie und die weitere Professionalisierung der Angreifer, haben diese noch wichtiger werden lassen. In den letzten Monaten lesen wir fast täglich von Angriffen auf Unternehmen, die bis hin zu tagelangen Komplettausfällen alles erlebt haben.

Warum SIEM-Tools für SAP taub sind, ist nicht nur für KRITIS-Betreiber bei der S/4HANA-Migration eine interessante Frage. Von Ralf Kempf (CTO | SAST SOLUTIONS) wollten wir im Vorfeld der IT-Onlinekonferenz 2022 wissen, was sich aktuell bei der SAP-Sicherheit verändert hat, für wen das IT-SiG 2.0 (IT-Sicherheitsgesetz) relevant ist, wie man das beim Umstieg auf S/4HANA berücksichtigt — und was alle Unternehmen zur Verbesserung der SAP-Sicherheit unternehmen können.

Er erläutert bei der ITOK22 die Herausforderungen für ein erfolgreiches S/4HANA-Projekt unter den besonderen Gesichtspunkten des IT-SiG 2.0. Marek Stasiczek (Teamleiter SAP | rku.it) gibt Einblicke in das neue Notfall-User-Verfahren der rku-it GmbH und berichtet von den Besonderheiten eines einheitlichen Rollen-Templates für ihre Kunden aus dem KRITIS-Sektor. Registrieren Sie sich hier für den Expert-Talk mit Ralf Kempf und Marek Stasiczek. Gerne können Sie im Anschluss an die Livesendung in Einzelgesprächen individuelle Fragen an die Gäste stellen.

 

Herr Kempf, haben sich die Sicherheitsanforderungen in letzter Zeit verändert — und wenn ja, wie?

Mit SAP S/4HANA sind Datenbank, User Interface, Gateway, Applikationen und Berechtigungen noch enger zusammengewachsen. Der Zugriff auf wichtige Daten ist also noch einmal komplexer geworden und somit auch schwieriger zu überwachen. Entscheidend ist bei Migrationsprojekten daher, eine umfassende Security-Betrachtung und eine ganzheitliche Strategie, die alle Themen vereint.

 

Welche Notwendigkeit sehen Sie, Sicherheitsaspekte bereits in einer frühen Phase einer SAP S/4HANA-Umstellung zu betrachten?

Ralf-KempfRalf Kempf: Nach unseren Erfahrungen vernachlässigen leider noch immer zu viele Unternehmen, die eine Migration auf SAP S/4HANA planen, die Absicherung der neuen Systeme.

Bei einer Konvertierung ist es jedoch entscheidend, von vorneherein eine belastbare und konsistente Grundsicherheit in die Migrationsstrategie mit einzubeziehen. So vermeiden Unternehmen nicht nur die typischen Stolperfallen beim Plattformwechsel an sich, wie beispielweise das außer Acht lassen von Schnittstellen und Altsystemen, sondern auch eine zu späte Überführung der SAP-Berechtigungen.

Ob Green-, Brown- oder Bluefield – eines eint alle Ansätze: Es gilt eine Reihe grundlegender Entscheidungen bereits vor der Einführung von SAP S/4HANA zu treffen. Wir erleben oft, dass Verantwortlichen zu Projektbeginn nicht wirklich bewusst ist, welche Herausforderungen insgesamt vor ihnen liegen und das kostet später nicht nur Zeit, sondern verursacht häufig auch erhebliche Extrakosten.

Dabei bietet ein Migrationsprojekt auch die Chance, die IT-Sicherheit auf ein ganz neues Level zu heben – nämlich mit einer sauber aufgesetzten und ganzheitlichen geplanten SAP Security & Compliance-Strategie. Daher ist diese Herausforderung auch als Chance zu verstehen: die Sicherheit in SAP-Systemen zu verbessern, Rollenkonzepte effizienter zu gestalten und so das neue System mit all seinen Vorteilen nutzen zu können.

 

IT-Sicherheitsgesetz für SAP-Kunden nützlich?

Für wen ist das IT-Sicherheitsgesetz 2.0 relevant?

Das ITSiG fordert von allen Betreibern kritischer Infrastrukturen ein detailliertes Business Continuity Planning und Desaster-Recovery-Szenarien. Als KRITIS-Betreiber wurden bis dato neun Sektoren mit wichtiger Bedeutung für das Gemeinwesen definiert, bei deren Beeinträchtigung nachhaltig Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten würden, also beispielweise Energieversorger, Gesundheits- und Finanzwesen oder Transport & Verkehr.

Relevant ist insbesondere, dass all diese Unternehmen ab sofort zum Einsatz von Systemen zur Anomalie und Intrusion Detection Erkennung (§8a) verpflichtet sind, dass sie automatisiert und in Echtzeit über Anomalien und Sicherheitsvorfällen informiert. Und das ist alle zwei Jahre dem BSI (Bundesamt für Sicherheit in der Informationstechnik) gegenüber nachzuweisen.

Anomalie und Intrusion Detection Systeme erkennen und konkretisieren Angriffe mithilfe von Log-Dateien und Netzwerkflüssen. Gemäß dem ITSig 2.0 müssen diese Log-Daten jedoch nicht nur aufgezeichnet, sondern auch ausgewertet werden. So sind künftig SIEM-Systeme (Security Incident and Event Management) für das schnelle Identifizieren von Cyberattacken nahezu unverzichtbar. Für die SAP-Sicherheit greift diese Überwachung jedoch zu kurz, da die speziellen SAP-Protokolle und -Auswertungen selten verstanden und folglich keine Angriffsmuster erkannt werden. Hierfür sind zusätzlich die Expertise von SAP-Sicherheitsprofis und spezielle Software erforderlich. Die SAST Suite bietet hier mit dem Modul Security Radar entsprechende SAP SIEM Monitoring Komponenten bereit.

 

… kann man auch Empfehlungen für Unternehmen ableiten, für die das IT-SiG nicht verpflichtend ist, die aber trotzdem einen hohen Schutzbedarf haben?

Definitiv. Die Einbindung eines professionellen SAP-Security-Partners ist für alle SAP-Anwendungsunternehmen ratsam. Ganz gleich, ob im Rahmen eines S/4HANA-Projekts, zur Optimierung und Ergänzung eines bestehenden SIEM-Systems und für den klassischen Mittelstand ebenso wie für Unternehmen mit sehr vielen SAP-Systemen.

Wir sehen in der Praxis immer wieder, dass selbst Unternehmen, die hochprofessionell IT-Security betreiben, die SIEM im Einsatz haben und alle Non-SAP-Bereiche par excellence beherrschen, SAP unwissentlich oder gar wissentlich ausblenden. Weil sie etwa hoffen, dass ihre SAP-Mitarbeiter „das irgendwie selbst kontrollieren“ oder auch weil nicht bekannt ist, dass es Möglichkeiten gibt, diese Lücke zu schließen. Hier muss sich so mancher CISO fragen lassen: Seid ihr sicher, dass ihr SAP auch ausreichend betrachtet? Falls nicht, führt beide Welten zusammen, denn das macht einfach Sinn.

Unsere Security-Software speist beispielsweise alle relevanten Informationen aus SAP praktisch „out of the box“ in bestehende SIEM-Systeme aller Couleur ein, macht sie auswertbar und alle sicherheitsrelevanten Vorfälle – ob in SAP ERP- oder S/4HANA-Systemen – können mit anderen IT-Systemen konsolidiert werden. So findet SAP im SIEM Gehör und Unternehmen erhalten auf Knopfdruck eine bewertete Dashboard-basierte Darstellung ihres gesamten Sicherheitsstatus. Dabei analysiert die SAST SUITE zur Gefahrenerkennung nicht nur SAP-Protokolle, sondern integriert auch Konfigurations- und Rollenanalysen.

 

Bei S/4HANA-Umstieg an SAP-Sicherheit denken

Was erfahren wir bei der ITOK22 von Ihnen und wer sollte sich Ihren Erfahrungsbericht ansehen, der sich vielleicht noch nicht direkt angesprochen fühlt?

Wir erzählen in unserem Expert Talk aus unserer täglichen Praxis: Wo liegen die Schwachstellen klassischer SIEM-Tools? Warum fällt SAP gefährlich oft durch das Erkennungsraster? Wie gewährleisten KRITIS-Betreiber auch bei der S/4HANA-Migration das Zusammenspiel zwischen Konzeption und Management, ebenso wie zwischen Überwachung, Verwaltung und Auditing.

Darüber hinaus gibt unser Kunde, die rku-it GmbH, exklusive Einblicke, wie sie als IT-Service-Provider für Energieversorger die Anforderungen des neuen IT-Sicherheitsgesetzes 2.0 wirksam erfüllen und gleichzeitig die Revisionssicherheit ihrer SAP-Systemlandschaft weiter erhöht haben. Hier registrieren …

Egal in welcher Phase sich Unternehmen beim Umstieg auf SAP S/4HANA gerade befinden, ob noch in der Informationsphase, bereits bei der Migrationsstrategie oder schon in den konkreten Vorbereitungen auf den Umstieg, in unserem Expert Talk findet sicherlich Jeder Denkanstöße für das eigene Projekt und interessante Learnings aus anderen Projekten.

 

Was wird 2022 das dominierende Thema in der SAP-Community?

Die Einbettung eines integrierten Sicherheits- und Berechtigungskonzeptes ist weiterhin eine der Kernaufgaben des gesamten Migrationsprozesses auf S/4HANA – und ist oftmals ein Grund, warum die Transformation als Ganzes scheitert. Technische Systemabsicherung, aber auch Rollen und Berechtigungen, gehören somit auch 2022 unverändert zu den größten Herausforderungen für SAP-Verantwortliche.

Zum anderen sehen wir, dass SAP Security Dashboards immer mehr an Bedeutung gewinnen, ob Management-View oder detaillierte Arbeitsliste für Maßnahmen zur Risikominimierung. Wichtig ist es immer mehr Unternehmen, hochwertige Informationen genau in der Qualität zu erhalten, wie sie sie im jeweiligen Augenblick benötigen. Ein kleiner Spoiler sei hier erlaubt: Darum steigen wir in dieses Thema bei der IT-Onlinekonferenz im Mai 2022 tiefer ein…

 

Darauf freuen wir uns. Vielen Dank für das Gespräch.

Die Fragen stellte Helge Sanden, Chefredakteur des IT-Onlinemagazins.

 

S/4HANA-Erfahrungsberichte bei der ITOK22

ITOK22-SAPSie können diesen und alle Beiträge der #ITOK22 live (24.01. – 27.01.22) oder als Aufzeichnung (sofern Sie sich für den jeweiligen Expert-Talk registriert haben) verfolgen und eigene Fragen an die Expertinnen und Experten stellen.

Beim siebten Gipfeltreffen der SAP-Community geben SAP-Kunden vier Tage lang Erfahrungsberichte aus S/4HANA-Projekten, SAP-Optimierungen, Business-Transformationen und zur Automatisierung. Zusätzlich gibt es vielfältige Interaktions- und Networking-Möglichkeiten.

 

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Anzeige

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

nicolas-crisand

Wie die Neupositionierung der SAP-IT-Organisation gelingen kann

Damit die SAP-IT-Abteilung ihre Relevanz im Unternehmen auch in Zukunft sicherstellt, muss sie sich als …